В данной статье хотелось бы затронуть тему устранения действий вредоносных программ антивирусами. Часто приходится встречать замечания пользователей на форумах, в которых говорится о том, что не все последствия деструктивной активности вредоносной программы были устранены. Почему такое происходит и хотелось бы рассказать. Продолжая разговор о "вспомогательных" троянцах, нельзя не остановиться на семействе Trojan.Win32.Regger. Данные вредоносы предназначены для внесения изменений в системный реестр (говорящее название). Изменения могут быть самые разные. Например, Trojan.Win32.Regger.f регистрирует в системе вредоносную библиотеку другого троянца. Зачем нужно такое разделение труда? Дело в том, что отличить вредоносную библиотеку от невредоносной просто по названию нельзя, и, если на анализ в антивирусную лабораторию попадает файл, который просто регистрирует что-то в реестре, аналитики оказываются перед сложным выбором: детектировать такой файл как вредоносный или нет? Получается, что по отдельности части вредоноса не несут никакой угрозы. Но стоит их запустить в определенной последовательности, и пользователь получит зараженную машину. Помимо регистрации библиотек и добавления ссылок на вредоносные файлы в ключи автозапуска системного реестра реггеры часто используются для добавления исключений в фильтр встроенного файервола Windows. В отличие от рассмотренных дизейблеров, которые просто выключают файервол, работа таких вредоносных программ менее заметна — система защиты операционной системы продолжает исправно работать, но некоторые запросы остаются без внимания. Например, Trojan.Win32.Regger.j добавляет исключения в фильтр для 57 доменных имен и делает доверенными IP-адреса, по которым расположены эти сайты: После такой "подготовки" компьютер представляет собой лакомый кусочек для разнообразных кликеров и даунлоадеров: их работа не будет сопровождаться сообщениями о попытке несанкционированно установить соединение. И у аналитиков возникает дилемма: удалить вредоносный файл проблемы не составляет, но вот как отличить "преступные" исключения от тех, которые создал сам пользователь, чтобы избежать надоедливых уведомлений системы? Троянцы семейства Trojan.Win32.LowZones действуют еще менее очевидно: помимо добавления исключений они снижают и уровень безопасности для зон браузера Internet Explorer. Internet Explorer приписывает все веб-сайты к одной из пяти зон безопасности: интернет, локальная сеть, надежные узлы, ограниченные узлы и локальный компьютер. В зависимости от того, какой из зон приписывается тот или иной сайт, к нему применяются соответствующие параметры безопасности. Получается, что есть зона "Интернет", уровень безопасности, заданный для данной зоны, применяется ко всем веб-узлам по умолчанию. Заданный по умолчанию уровень безопасности для данной зоны — умеренно высокий. Однако его можно понизить до умеренного или повысить до высокого. А можно просто внести сайт в другую зону, с меньшими ограничениями. От этих настроек зависит, будет ли возможность использовать на сайтах этой зоны различные технологии активного содержимого, а также оповещение о том, что такое содержимое обнаружено: Активное содержимое — интерактивное или анимированное содержимое, используемое в интернете. Активное содержимое включает элементы управления ActiveX и надстройки для веб-обозревателя. Таким образом, для других вредоносов открывается возможность использовать многочисленные уязвимости в ActiveX-компоненты, а также дополнять браузер "вспомогательными" объектами, чаще всего детектируемыми как Trojan-Clicker.Win32.BHO или not-a-virus:AdWare.BHO. И снова нельзя наверняка сказать, снижение безопасности — это результат деятельности зловреда или воля пользователя, которому надоело разрешать использование ActiveX, который используется повсеместно. Есть еще троянцы семейства Trojan.Win32.StartPage. При помощи ключа системного реестра: они меняют стартовую страницу самого распространенного браузера Internet Explorer. Тут проблема в том, что стартовую страницу меняет бесчисленное множество вполне легальных программ. Делать вывод о том, была ли стартовая страница изменена вредоносной программой, можно, например, по содержимому сайта. Но что делать, если страница не работает? Похожим образом действуют вредоносы семейства Trojan.Win32.Favadd. Основной деструктивной активностью данного семейства является добавление ссылок в меню "Избранное" браузера Internet Explorer: Это своего рода спам — сами по себе ссылки никакого вреда не несут (если, конечно, не ведут на зараженные сайты). Разве что захламляют меню "Избранное". Да и удалить их никакого труда не составляет (если троянец будет в автозапуске, то ссылки будут восстанавливаться). Но установить, была ли ссылка добавлена вредоносом или пользователем, нельзя. Кроме того, к семействам, последствия работы которых не поддаются устранению, можно отнести Trojan.Win32.AddShare. Такие троянцы собирают данные о логических дисках зараженного компьютера и открывают к ним полный доступ из сети: Таким образом, злоумышленник, заразивший кого-то в локальной сети, получит доступ ко всем файлам пострадавшего. В том числе и на запись, что позволит, скажем, поместить в каталог автозагрузки другую вредоносную программу. Но пользователь может "расшарить" свои диски и сам. Продолжать можно довольно долго, но основная мысль понятна: работники антивирусной компании удаляют и восстанавливают только то, за что могут поручиться. Не стоит кричать на форумах, что такой-то антивирус оставляет после себя недочищенную систему — все имеет свои причины.
Спасибо за статью. Сейчас вирусы - это как грабители.На днях мне один зашифровал столько документов, что я чуть ПК не разбил со злости. Сколько не игрался, да все без толку, делал заново. Я думаю уже сейчас, кибер полиция есть не менее важно, чем обычная.